Biometría

Cómo funciona la biometría

La autenticación mediante verificación biométrica es cada vez más habitual en los sistemas de seguridad de las empresas y del sector público, en la electrónica de consumo y en las aplicaciones de los puntos de venta. Además de la seguridad, la fuerza motriz de la verificación biométrica ha sido la comodidad, ya que no hay contraseñas que recordar ni fichas de seguridad que llevar. Algunos métodos biométricos, como la medición de la marcha de una persona, pueden funcionar sin contacto directo con la persona autentificada.

Los componentes de los dispositivos biométricos son los siguientes

• un lector o dispositivo de escaneo para registrar el factor biométrico que se está autenticando;
• un software para convertir los datos biométricos escaneados en un formato digital estandarizado y para comparar los puntos de coincidencia de los datos observados con los datos almacenados; y
• una base de datos para almacenar de forma segura los datos biométricos para su comparación.

Los datos biométricos pueden almacenarse en una base de datos centralizada, aunque las implementaciones biométricas modernas a menudo dependen de la recopilación de datos biométricos a nivel local y de su codificación criptográfica para que la autenticación o la identificación puedan llevarse a cabo sin acceso directo a los propios datos biométricos.

Tipos de biometría

Los dos tipos principales de identificadores biométricos son las características fisiológicas o las características de comportamiento.

Los identificadores fisiológicos se refieren a la composición del usuario que se está autenticando e incluyen lo siguiente:

• reconocimiento facial
• huellas dactilares
• la geometría de los dedos (el tamaño y la posición de los dedos)
• reconocimiento del iris
• reconocimiento de las venas
• escaneo de la retina
• reconocimiento de la voz
• cotejo de ADN (ácido desoxirribonucleico)
• firmas digitales.

Los identificadores de comportamiento incluyen las formas únicas de actuar de los individuos, incluyendo el reconocimiento de los patrones de escritura, la forma de caminar y otros gestos. Algunos de estos identificadores de comportamiento pueden utilizarse para proporcionar una autenticación continua en lugar de una única comprobación de autenticación.

Los datos biométricos pueden utilizarse para acceder a la información de un dispositivo como un smartphone, pero también hay otras formas de utilizar la biometría. Por ejemplo, la información biométrica puede guardarse en una tarjeta inteligente, donde un sistema de reconocimiento leerá la información biométrica de un individuo, comparándola con la información biométrica de la tarjeta inteligente.

Ventajas y desventajas de la biometría

El uso de la biometría tiene muchas ventajas y desventajas en cuanto a su uso, seguridad y otras funciones relacionadas. La biometría es beneficiosa porque es:

• difícil de falsificar o robar, a diferencia de las contraseñas;
• fácil y cómoda de usar;
• por lo general, la misma a lo largo de la vida de un usuario
• es intransferible; y
• eficiente porque las plantillas ocupan menos espacio de almacenamiento.

Las desventajas, sin embargo, son las siguientes:

• Es costoso poner en marcha un sistema biométrico.
• Si el sistema no logra capturar todos los datos biométricos, puede provocar un fallo en la identificación de un usuario.
• Las bases de datos que contienen datos biométricos pueden ser pirateadas.
• También pueden producirse errores como falsos rechazos y falsas aceptaciones.
• Si un usuario se lesiona, un sistema de autenticación biométrica puede no funcionar; por ejemplo, si un usuario se quema la mano, un escáner de huellas dactilares puede no ser capaz de identificarlo.

Ejemplos de uso de la biometría

Además de la biometría en muchos de los teléfonos inteligentes que se utilizan hoy en día, la biometría se utiliza en muchos campos diferentes. Por ejemplo, la biometría se utiliza en los siguientes campos y organizaciones:

• Aplicación de la ley. Se utiliza en sistemas de identificación de delincuentes, como los sistemas de autenticación de huellas dactilares o palmares.
• El Departamento de Seguridad Nacional de los Estados Unidos. Se utiliza en las ramas de la Patrulla Fronteriza para numerosos procesos de detección, investigación y acreditación, por ejemplo, con sistemas para pasaportes electrónicos, que almacenan datos de huellas dactilares, o en sistemas de reconocimiento facial.
• Sanidad. Se utiliza en sistemas como las tarjetas de identidad nacionales para los programas de identificación y seguro médico, que pueden utilizar las huellas dactilares para la identificación.
• Seguridad aeroportuaria. En este campo se utiliza a veces la biometría, como el reconocimiento del iris.

Sin embargo, no todas las organizaciones y programas optan por utilizar la biometría. Por ejemplo, algunos sistemas de justicia no utilizarán la biometría para evitar cualquier posible error que pueda producirse.

Cuestiones de seguridad y privacidad de la biometría

Los identificadores biométricos dependen de la singularidad del factor considerado. Por ejemplo, se considera que las huellas dactilares son muy exclusivas de cada persona. El reconocimiento de huellas dactilares, especialmente tal y como se implementó en el Touch ID de Apple para los anteriores iPhones, fue la primera aplicación de un factor de autenticación biométrica ampliamente utilizada en el mercado de masas.

Otros factores biométricos son la retina, el reconocimiento del iris, el escaneo de las venas y la voz. Sin embargo, hasta ahora no se han adoptado de forma generalizada, en parte, porque se confía menos en la unicidad de los identificadores o porque los factores son más fáciles de falsificar y utilizar con fines maliciosos, como la suplantación de identidad.

La estabilidad del factor biométrico también puede ser importante para su aceptación. Las huellas dactilares no cambian a lo largo de la vida, mientras que la apariencia facial puede cambiar drásticamente con la edad, la enfermedad u otros factores.

El problema de privacidad más importante del uso de la biometría es que los atributos físicos, como las huellas dactilares y los patrones de los vasos sanguíneos de la retina, suelen ser estáticos y no pueden modificarse. Esto es distinto de los factores no biométricos, como las contraseñas (algo que uno sabe) y los tokens (algo que uno tiene), que pueden ser sustituidos si se violan o se ponen en peligro. Una demostración de esta dificultad fue la filtración de datos de más de 20 millones de personas cuyas huellas dactilares se vieron comprometidas en 2014 en la Oficina de Gestión de Personal (OPM) de Estados Unidos.

La creciente ubicuidad de las cámaras de alta calidad, los micrófonos y los lectores de huellas dactilares en muchos de los dispositivos móviles actuales significa que la biometría seguirá siendo un método más común para autenticar a los usuarios, en particular porque Fast ID Online (FIDO) ha especificado nuevas normas para la autenticación con biometría que admiten la autenticación de dos factores (2FA) con factores biométricos.

Aunque la calidad de los lectores biométricos sigue mejorando, todavía pueden producir falsos negativos, cuando un usuario autorizado no es reconocido o autenticado, y falsos positivos, cuando un usuario no autorizado es reconocido y autenticado.

Vulnerabilidades biométricas

Aunque las cámaras de alta calidad y otros sensores contribuyen a hacer posible el uso de la biometría, también pueden permitir a los atacantes. Dado que las personas no ocultan su rostro, sus orejas, sus manos, su voz o su forma de andar, es posible realizar ataques simplemente capturando datos biométricos de las personas sin su consentimiento o conocimiento.

Uno de los primeros ataques a la autenticación biométrica de las huellas dactilares se denominó el "hack del oso de goma", y se remonta a 2002, cuando unos investigadores japoneses, utilizando un dulce a base de gelatina, demostraron que un atacante podía levantar una huella dactilar latente de una superficie brillante; la capacitancia de la gelatina es similar a la de un dedo humano, por lo que los escáneres de huellas dactilares diseñados para detectar la capacitancia serían engañados por la transferencia de gelatina.

Los atacantes decididos también pueden vencer otros factores biométricos. En 2015, Jan Krissler, también conocido como Starbug, un investigador de biometría del Chaos Computer Club, demostró un método para extraer suficientes datos de una fotografía de alta resolución para derrotar la autenticación por escaneo del iris. En 2017, Krissler informó de la derrota del esquema de autenticación del escáner de iris utilizado por el smartphone Samsung Galaxy S8. Krissler había recreado previamente la huella del pulgar de un usuario a partir de una imagen de alta resolución para demostrar que el esquema de autenticación de huellas dactilares Touch ID de Apple también era vulnerable.

Después de que Apple lanzara el iPhone X, los investigadores solo tardaron dos semanas en burlar el reconocimiento facial Face ID de Apple utilizando una máscara impresa en 3D; Face ID también puede ser derrotado por personas relacionadas con el usuario autenticado, incluyendo hijos o hermanos.